免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 28943 | 回复: 166

如何使企业中的服务器、数据信息更为安全(获奖名单已公布-2012-7-25) [复制链接]

论坛徽章:
0
发表于 2012-07-04 15:03 |显示全部楼层
    获奖名单已公布,详情请看:http://bbs.chinaunix.net/thread-3761139-1-1.html

随着企业的发展,服务器以及各种信息系统的增多,服务器本地访问的安全和数据交互传输的安全性特别尤为的重要。除了日常正常的信息,还有会一些恶意的攻击。这有可能导致信息被盗取、网络中断等等,会给我们的企业带来不小的损失。而做为运维人员,应该尽可能的解决这些问题,加强数据信息的安全性。

本期讨论话题:

一:如何加强本地用户登录
二:在架构中,应用服务器前面需不需要加上各种检测信息的设备
三:怎么样来防止攻击(比如同IDC里ARP的攻击)

活动要求:针对以上三个话题进行分享,对于积极分享实际案例的网友我们会优先考虑获奖。

邀请嘉宾:

胡安伟(king_819)金游数据运维主管
余洪春(yuhongchun)系统架构师
高俊峰(南非蚂蚁)Linux管理员 高级运维工程师

活动时间:
2012.7.4——2012.7.24

活动有奖:1,我们为大家准备了高俊峰(南非蚂蚁)写的《高性能Linux服务器构建实战运维监控、性能调优与集群应用》四本 奖励给积极分享的网友。
              2,此外积极分享案例的网友可以获得CU积分50分。


论坛徽章:
0
发表于 2012-07-04 16:02 |显示全部楼层
我先扔块砖

整个硬盘加密,在启动时输入密码
系统可以配置成U盘登录,也就是说插上U盘才能登录,不需要输入密码

在电商中可能有对提交的数据进行检测,防止敏感数据的提交

比较常见的是写脚本来屏蔽IP

论坛徽章:
1
CU十二周年纪念徽章
日期:2013-10-24 15:41:34
发表于 2012-07-04 16:15 |显示全部楼层
Gray1982 发表于 2012-07-04 16:02
我先扔块砖

整个硬盘加密,在启动时输入密码


想起了一个同学说他在以前的公司上班有几十个密码,我勒个去。最后直接走了。

论坛徽章:
0
发表于 2012-07-04 16:30 |显示全部楼层
ecjtubaowp 发表于 2012-07-04 16:15
想起了一个同学说他在以前的公司上班有几十个密码,我勒个去。最后直接走了。



哈哈,密码太多了,现在可以直接用U盘登录了

论坛徽章:
0
发表于 2012-07-04 16:35 |显示全部楼层
1.本地用户登录。
大概有一下几个安全防护策略,做的越多,安全系数越高,当然,操作不便性相应增加。
a,只允许vpn线路接入,这是比较常见的安全策略。
b,只允许非root账号登录,若从root账号尝试登录,那么登录的IP直接被服务器屏蔽或禁止,可能需要写脚本来实现。
c,私钥登录,不怕密码丢失。
d,不嫌麻烦可以让radius介入,增加安全级别
e,口令构成复杂化,至少数字+字幕+特殊字符>16个字符以上。

2.话题有太大,暂略不谈。
3.arp攻击。
套路简单粗糙,但百试不爽,基本上属于技术含量最低,但威力不容小觑的常见攻击之一。比较好的办法是有,但也比较麻烦,例如某台交换机上,一个接口下绑定若干个MAC地址,只允许这些mac地址接入该端口,如果有非法mac接入,该交换机可以自动切断该端口,甚至让该端口进入休克状态,直接导致物理端口状态灯不亮,即使重启也无济于事。除非手动输入命令让端口恢复。但这样做有个弊端,有时服务器或者交换机端口会出现莫名故障导致端口不可用,重启也没用,这时候交换机还没多余的端口,并且该服务器还跑着关键应用,这时候就很误事,所以,也可以把该交换机仅仅配置成阻断端口,让其不能正常通信即可。
然后在骨干交换机(要保证整个交换机当中所有的交换机tuank链路畅通无阻)上配置ip与mac绑定。若不嫌繁琐,同样可以让radius接入,给那些服务器的mac地址都采用实名制的方式让其接入网络中的接入层和汇聚层。

论坛徽章:
0
发表于 2012-07-04 17:40 |显示全部楼层
1:服务器登录我们都是key方式,密码登录太危险,扫描软件太多。或者远程登录最好是只允许vpn线路。

2:应用服务器前面一一般都有流量管理或者入侵检测设备,对进来的信息进行检测和过滤。

3:应对攻击的办法是硬件防护加上应用服务器防护多种策略结合使用

论坛徽章:
0
发表于 2012-07-04 19:02 |显示全部楼层
本帖最后由 Gray1982 于 2012-07-04 20:31 编辑
chinaciscoccie 发表于 2012-07-04 16:35
1.本地用户登录。
大概有一下几个安全防护策略,做的越多,安全系数越高,当然,操作不便性相应增加。
a, ...


这1和3说的很清楚
radius的应用,估计很多企业用不了···········

其实3当中并不一定是ARP,也有DDOS,也有暴力破解等

论坛徽章:
0
发表于 2012-07-04 19:04 |显示全部楼层
回复 6# 南非蚂蚁


   

你用KEY是在SSH情况下吧
如果硬件在手边呢,我上边说的是如果服务器在旁边用的是U盘登录方式,不再输入密码。安全嘛

论坛徽章:
19
CU大牛徽章
日期:2013-03-13 15:32:35CU大牛徽章
日期:2013-09-18 15:15:15CU大牛徽章
日期:2013-05-20 10:46:44CU大牛徽章
日期:2013-05-20 10:46:38CU大牛徽章
日期:2013-05-20 10:46:31CU大牛徽章
日期:2013-05-20 10:46:25CU大牛徽章
日期:2013-05-20 10:46:18CU大牛徽章
日期:2013-04-17 11:19:51CU大牛徽章
日期:2013-04-17 11:19:42CU大牛徽章
日期:2013-04-17 11:19:37CU大牛徽章
日期:2013-04-17 11:19:32CU大牛徽章
日期:2013-04-17 11:19:28
发表于 2012-07-04 19:12 |显示全部楼层
本帖最后由 方兆国 于 2012-07-04 19:16 编辑
一:如何加强本地用户登录

限制登录ip
限定密码长度
限制密码过期时间
使用智能卡登录
多层密码(貌似略麻烦)

二:在架构中,应用服务器前面需不需要加上各种检测信息的设备

这就得看划算不划算了

三:怎么样来防止攻击(比如同IDC里ARP的攻击)

这个不太清楚

论坛徽章:
19
CU大牛徽章
日期:2013-03-13 15:32:35CU大牛徽章
日期:2013-09-18 15:15:15CU大牛徽章
日期:2013-05-20 10:46:44CU大牛徽章
日期:2013-05-20 10:46:38CU大牛徽章
日期:2013-05-20 10:46:31CU大牛徽章
日期:2013-05-20 10:46:25CU大牛徽章
日期:2013-05-20 10:46:18CU大牛徽章
日期:2013-04-17 11:19:51CU大牛徽章
日期:2013-04-17 11:19:42CU大牛徽章
日期:2013-04-17 11:19:37CU大牛徽章
日期:2013-04-17 11:19:32CU大牛徽章
日期:2013-04-17 11:19:28
发表于 2012-07-04 19:17 |显示全部楼层
Gray1982 发表于 2012-07-04 16:02
我先扔块砖

整个硬盘加密,在启动时输入密码


万一U盘丢了呢?
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

SACC2019中国系统架构师大会

【数字转型 架构演进】SACC2019中国系统架构师大会,8.5折限时优惠重磅来袭!
2019年10月31日~11月2日第11届中国系统架构师大会(SACC2019)将在北京隆重召开。四大主线并行的演讲模式,1个主会场、20个技术专场、超千人参与的会议规模,100+来自互联网、金融、制造业、电商等领域的嘉宾阵容,将为广大参会者提供一场最具价值的技术交流盛会。

限时8.5折扣期:2019年9月30日前


----------------------------------------

大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP